IG2 IG3

Realizar Filtrado de Tráfico entre Segmentos de Red

Grupo de Control: 13. Monitoreo y Defensa de Red

Tipo de Activo: Red

Función de Seguridad: Proteger

Descripción

Realizar filtrado de tráfico entre segmentos de red, donde sea apropiado.

Lista de Verificación de Implementación

1

Evaluar los controles de protección actualmente implementados

2

Configurar e implementar los controles de seguridad requeridos

3

Probar la efectividad de los controles en un entorno de no producción

4

Implementar en producción y verificar la funcionalidad

5

Documentar la configuración y los procedimientos operativos

Herramientas Recomendadas

Palo Alto Networks NGFW Gartner MQ Leader, Network Firewalls 2024

Plataforma de firewall de próxima generación con políticas conscientes de aplicaciones, prevención de amenazas, filtrado de URL y SD-WAN

Palo Alto Networks · Dispositivo + suscripción

Fortinet FortiGate Gartner MQ Leader, Network Firewalls 2024

Firewall empresarial y estructura de seguridad con NGFW, SD-WAN, IPS y servicios de seguridad integrados

Fortinet · Dispositivo + suscripción

Cisco Secure Firewall Gartner MQ Leader, Network Firewalls 2024

Firewall empresarial con visibilidad de aplicaciones, IPS, defensa contra malware y análisis de tráfico cifrado

Cisco · Dispositivo + suscripción

Amenazas y Vulnerabilidades (CIS RAM)

Escenarios de Amenazas

Movimiento Lateral Irrestricto entre Segmentos de Red

Confidencialidad

Un atacante que compromete una estación de trabajo en el segmento de usuarios generales puede acceder directamente a servidores de bases de datos e infraestructura crítica porque no existe filtrado de tráfico entre segmentos de red.

Propagación de Malware en Red Plana

Disponibilidad

Una variante de gusano o ransomware se propaga rápidamente desde un endpoint infectado a servidores en todos los segmentos porque el tráfico entre segmentos no se filtra ni restringe.

Acceso No Autorizado a Segmentos Sensibles desde Dispositivo IoT Comprometido

Confidencialidad

Un dispositivo IoT comprometido en la red corporativa obtiene acceso directo a segmentos de PCI o datos sensibles porque ninguna política de filtrado de tráfico entre segmentos restringe las rutas de comunicación.

Vulnerabilidades (Cuando la Salvaguarda está Ausente)

Arquitectura de Red Plana Sin Aplicación de Segmentación

Sin filtrado de tráfico entre segmentos, todas las zonas de red pueden comunicarse libremente, eliminando límites de contención y permitiendo que los compromisos se propaguen por toda la red.

Sin Control de Acceso entre Zonas de Confianza

La ausencia de filtrado entre segmentos significa que las zonas de alta seguridad como procesamiento de pagos o niveles de bases de datos son alcanzables desde zonas de menor confianza como Wi-Fi de invitados o estaciones de trabajo generales.

Requisitos de Evidencia

Tipo	Elemento de Evidencia	Frecuencia de Recolección
Técnico	Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados	Capturado trimestralmente
Documento	Documentación de procedimientos para medidas de protección	Revisado anualmente
Documento	Documento de política vigente (actual, aprobado, comunicado)	Revisado anualmente

Plantillas de Políticas Relacionadas

Política de Seguridad de Red

Control 12, Control 13

Política de Control de Acceso a la Red

Control 13

Salvaguardas Relacionadas en el Control 13

13.1 Centralizar las Alertas de Eventos de Seguridad

13.2 Implementar una Solución de Detección de Intrusiones Basada en Host

13.3 Implementar una Solución de Detección de Intrusiones de Red

13.5 Gestionar el Control de Acceso para Activos Remotos

13.6 Recopilar Registros de Flujo de Tráfico de Red

13.7 Implementar una Solución de Prevención de Intrusiones Basada en Host

13.8 Implementar una Solución de Prevención de Intrusiones de Red

13.9 Implementar Control de Acceso a Nivel de Puerto

13.10 Realizar Filtrado en la Capa de Aplicación

13.11 Ajustar Umbrales de Alertas de Eventos de Seguridad